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(57) Abstract: The invention concerns a method 
for making secure the processing of a sensitive 
information in a monolithic structure security 
module, said module comprising data processing 
means (9) and means for storing (3, 4) data to be 
processed by said processing means. The invention 
is characterised in that it comprises the following 
steps: selecting a sensitive information in the storage 
means; determining (7) a specific integrity condition 
of said information; scanning the information 
and transmitting it (1) to the processing means; 
controlling (11) while the information is being 
processed that the specific condition is fulfilled; 
blocking the information processing in the event that 
the specific condition is not fulfilled. The invention 
also concerns the associated security module. 

(57) Abreg^: L*invention conceme un procede 
de secuLfisation du traitement d*une information 
sensible dans un module de security de structure 
monolithique, le module comportant des moyens 
de traitement de T information (9) et des moyens 
de memorisation (3, 4) d' informations susceptibles 
d*etre traitees par lesdits moyens de traitement, 
caracterise en ce qu'U comprend les etapes suivantes: 
s^ectionner une information sensible dans les moyens 
de memorisation; determiner (7) une condition 
particuliere d*intfegrite de la dite information; lire 
r information et la transmenre 
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En ce qui concerne ies codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT 



(1) aux moyens de traitement; controler (11) lors du traitement de T information que la condition particuliere est satisfaite; bloquer le 
traitemenl de T information au cas ou la condition particuliere n'est pas satisfaite. L' invention concerne aussi ie module de securite 
associd. 
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Procede de securisation du traitement d'une information sensible dans un 
module de securite monolithique. et module de securite associe 

La presente invention concerne un procede et un dispositif pour 
5 accroltre la securite d'un module de securite monolithique comprenant un 
microprocesseur et agence pour executer un programme a securiser. Un 
programme a securiser est un ensemble d'instructions dont Texecution doit 
repondre a des criteres tels que : authentification de Tutilisateur, confidentialite 
des donnees echangees. authenticity d'une transaction et sa validite, de fapon 

10 generale, le traitement de donnees d'applications dans lesquelles des droits et 
obligations d'un usager sont controles. La presente invention vise a doter le 
module de securite de moyens de detection et de parade centre des 
interventions exterieures frauduleuses pour acceder a des donnees sensibles, 
par contournement de controles prealables connus en eux-memes. 

15 Le terme « module de securite » monolithique recouvre tout circuit 

eiectronique constitue d'une seule puce electronique et enrobe dans une 
enceinte, le circuit comprenant une unite de traitement, au moins une memoire 
et des peripheriques tels que des circuits d'entree/sortie, controleur 
d'interruptions, etc.... Le module de securite peut prendre I'aspect d*un circuit 

20 integre ou d'un objet portatif du type carte a puce utilisee par exemple, dans le 
domaine bancaire, dans les radiotelephones mobiles, les decodeurs de 
television a peage, la sante, les transports. 

Les modules de securite selon Tinvention comportent au moins un 
microprocesseur, une memoire contenant un programme et des moyens 

25 d'entree/sortie pour communiquer avec I'exterieur. La memoire contient au 
moins un programme d'application qui peut etre inscrit dans une memoire de 
type ROM lors de la fabrication du circuit, ou ecrit par la suite dans une 
memoire programmable. De fagon generale, le programme contient les 
instructions executees par le microprocesseur, le transfert des instructions de 

30 ia memoire morte ou non volatile au microprocesseur s'effectuant par un bus 
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de donnees couple a un bus d'adresses. Si les chemins de bus sont trop longs, 
le constructeur du circuit dispose des circuits amplificateurs aux extremites des 
bus afin que le signal binaire puisse se propager correctement sur toute sa 
longueur. 

Les circuits amplificateurs exigent une forte impedance d'entree ce qui 
les rend sensibles aux perturbations exterieures. Soumis a un rayonnement de 
particules elementaires, lis peuvent se saturer pendant un certain temps et. 
quelle que soit la donnee en entree, n'emettre sur le bus que 0 volt ou +Vcc, 
c'est-a-dire un "0" ou un "1" binaire. Un tel rayonnement peut etre constitue de 
rayons alpha, X, d'ions charges positivement ou negativement selon que Ton 
veut une sortie de I'amplificateur a "0" ou "1". 

Un fraudeur en possession d'une carte authentique peut essayer de 
dejouer les dispositifs de securite afin de profiter de services de fa^on 
abusive : il va done soumettre le module de securite a de tels rayonnements en 
esperant perturber son fonctionnement a son avantage. La source d'emission 
peut etre suffisamment courte pour ne perturber I'execution que d'une ou 
plusieurs instructions. Cette perturbation peut substituer a la valeur lue dans la 
memoire du programme, une autre valeur imposee par ['emission du 
rayonnement. Ainsi, le deroulement du programme est different et le fraudeur 
peut en tirer avantage. 

Une premiere parade a ce type d'attaque est d'Installer des capteurs de 
rayonnement, des que ceux-ci detectent un rayonnement anonnal, lis 
positionnent un drapeau qui peut etre lu par le programme. Une telle solution 
est decrite dans le brevet US 5.465.349, equivalent americain du brevet FR 2 
668 274. Mais les fraudeurs ont ameliore les moyens d'investigation et utilisent 
des emetteurs de rayonnement extremement fins. En pointant le rayonnement 
uniquement sur les amplificateurs ou un groupe d'amplificateurs, les capteurs 
ne detectent plus la fraude. En tout etat de cause, cette parade est incapable 
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de detecter une intervention a I'aide de micro-pointes et. de toute fa?on, on 
peut perturber la sequence de lecture des capteurs pour que le programme 
s'execute comme si rien d'anormal n'etait detecte. 

, 5 Linvention vise a detecter des alterations dans la transmission des 

instructions et des donnees entre une memoire et un microprocesseur. Le 
probleme que vise a resoudre Tinvention est la detection d'une intervention 
exterieure visant a perturber le deroulement d'un programme en modifiant la 
valeur des signaux echanges sur les bus d*un micro-controleur. 

10 

Le probleme est resolu selon I'invention en prevoyant des mesures 
permettant aux modules de securite de verifier si les informations transitent 
correctement au sein du module et si les programmes ont ete executes 
integralement. Dans la negative, Texecution normale du programme est 
15 interrompue. De fa^on optionnelle, toute utilisation ulterieure du module est 
interdite car le module s'est rendu compte qu'il est utilise de fa^on illicite. 

Plus precisement, I'invention revendique un precede de securisation du 
traitement d'une information sensible dans un module de securite de structure 
20 monolithique, le module comportant des moyens de traitement de information 
et des moyens de memorisation d' informations susceptibles d'etre traitees par 
lesdits moyens de traitement, caracterise en ce qu'il comprend les etapes 
suivantes : 

- selectionner une information sensible dans les moyens de 
25 memorisation ; 

- determiner une condition particuliere d'integrite de la dite information ; 

- lire rinformation et la transmettre aux moyens de traitement ; 

- controler lors du traitement de rinformation que la condition particuliere 
est satisfaite ; 
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- bloquer le traitement de Tinformation au cas ou la condition particuliere 
n'est pas satisfaite. 

D'autres caracteristiques et avantages de Tinvention apparaltront au 
5 cours de la description suivante de quelques modes de realisation preferes 
mais non limitatifs, en regard des dessins annexes, sur lesquels : 

La figure 1 represente le schema d'un systeme classique a 
microprocesseur. 

La figure 2 montre le jeu d'instructions du microprocesseur MOTOROLA 
10 6805. 

La figure 3 montre le jeu modifie d'instructions du microprocesseur selon 
rinvention. 

La figure 4 montre le schema synoptique du circuit modifie selon 
rinvention. 

15 La figure 5 montre une partie du schema synoptique du circuit modifie 

selon une amelioration de rinvention. 

La figure 6 montre une partie de la memoire de programme dotee 

d^etapes de mise a jour et de modification d'un indicateur permettant de 

detecter des perturbations exterieures. 
20 La figure 7 montre une partie de la memoire de programme selon une 

variante de {'invention. 

Le schema electronique d'un systeme a microprocesseur est represente 
a la figure 1. Ce schema est extrait du livre « Architecture de rOrdinateur » de 

25 Andrew TANENBAUM, publie par InterEditions. Le systeme comprend de fagon 
connue en soi ies elements suivants : un microprocesseur 31, une memoire 
RAM 32, une memoire de programme EPROM 33 qui contient le programme 
executable et des moyens d'entree/sortie 34. Les connexions de ces divers 
elements s*effectuent par deux bus, le bus d'adresses 35 et le bus de donnees 

30 36. On a coutume de designer par « bus de controle » le bus qui vehicule 
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rensemble des signaux tels que les signaux d'horloge, les signaux de lecture 
et d'ecriture 

Selon Toperation executee, ces elements peuvent etre en mode 
reception d'informations ou en mode emission d* informations. Lorsque le 
microprocesseur lit une instruction dans un octet a une certaine adresse, les 
huit cellules de la memoire ROM constituent I'octet correspondant a cette 
adresse, emettent la valeur inscrite dans les cellules a travers le bus de 
donnees qui la transmet au microprocesseur, ce dernier etant en mode 
reception. Inversement, lorsque le microprocesseur emet une donnee vers la 
memoire, le bus de donnees est alors en mode emission. Le fonctionnement 
interne du composant est detaille dans le brevet US 4.382.279 equivalent 
americain du brevet FR 2 461 301 . 

Chaque microprocesseur possede un jeu specifique d'instructions. Le 
microprocesseur MOTOROLA 6805 traite des donnees de huit bits en interne. 
Son bus de donnees comprend 8 lignes et le code operation de ses 
instructions est code sur 8 bits. . A titre d'exemple, le jeu d'instructions du 
microprocesseur M6805 et Ml 468805 extrait de la documentation 
« Microcomputer/microprocessor User's manual » est represents a la figure 2. 
Une instruction pour ce type de microprocesseur est codee sur 8 bits, done il 
existe 256 codes differents mais ceux-ci ne sont pas tous executables par le 
microprocesseur. Certains codes ne sont pas implementes et correspondent a 
des trous dans le tableau de la figure 2, par exemple les codes : 90H, 31 H, 
41H, 51H, 61H, 71H, 91H, 23H, 24H, 25H. 26H, 27H, 28H, 29H, 93H, 94H, 
etc... Si le microprocesseur lit un code operation non implements, son 
execution n'est pas garantie. Ainsi, le microprocesseur peut passer a 
I'instruction suivante sans rien faire d'autre. 
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Comme on le constate sur la figure 2, le code "00" du jeu d'instructions 
du microprocesseur MOTOROLA 6805 correspond a instruction « BRSETO » 
et le code "FF", a rinstruction « STX » en indexe. L' instruction « BRSETO » 
occupe trois octets dans la memoire de programme et s'execute en dix cycles 

5 d'horloge, celui de rinstruction « STX » occupe un octet et s'execute en cinq 
cycles d'horloge, Le microprocesseur possede un compteur ordinal contenant 
I'adresse de rinstruction dans la memoire de programme qui est en cours 
d'execution. Comme il a ete dit en preambule, si un fraudeur envoie un 
rayonnement sur le bus, Tune ou Tautre de ces instructions sera executee a la 

10 place de celle effectivement lue dans la memoire de programme. Dans le cas 
de rinstruction « BRSETO », apres son execution, le compteur ordinal du 
microprocesseur est augmente de trois unites et pointe done trois octets plus 
loin dans la memoire de programme. Pour rinstruction « STX », le compteur 
ordinal est augmente d'une unite. En emettant le rayonnement pendant les dix 

15 coups d'horloge necessaires a I'execution du BRSETO, le microprocesseur va 
lire trois octets a «00», et traduire cela par « test si le bit 0 de I'octet 00 est a 1 
et saut si c*est le cas ». A cause du rayonnement. la valeur 00 de roctet a 
I'adresse 00 est lue, done le saut ne va pas s'effectuer et le programme 
continue a rinstruction suivante. Ainsi, en soumettant le circuit a un 

20 rayonnement pendant un certain nombre de tops d'horloge, un fraudeur peut 
faire avancer artificiellement le compteur ordinal par sauts successifs de trois 
octets et empecher rexecution d'une sequence inscrite en memoire de 
programme. Pour un microprocesseur de la famille 8051. fabrique par la 
societe INTEL et de nombreuses autres societes, le code operation dont la 

25 valeur binaire est 00 correspond a rinstruction NOP qui signifie « no 
operation ». Cette instruction n'utilise qu'un seul octet. Dans ce cas, le fraudeur 
peut faire avancer artificiellement le compteur ordinal octet par octet. 

Une premiere solution consiste a interrompre le fonctionnement normal 
30 du microprocesseur lors d'une lecture d^instruction dont le code est « 00 » ou 
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« FF », Le module devient muet, seule une mise hors tension suivie d'une mise 
sous tension du module peut faire repartir le microprocesseur. La figure 3 
montre le jeu modifie d'instructions selon Tinvention. La nouvelle instruction 
correspondant a « 00 » ou « FF » est appelee « FRAUDE » ou FRD en abrege. 
5 Par rapport au jeu d'instructions normal decrit sur la figure 2, des colonnes ont 
ete inversees de telle sorte que les codes « 00 » et « FF » ne correspondent 
plus a des instructions executables. La colonne numero « 0 » qui contenait 
rinstruction « BRSETO » est transferee a la colonne 2, la colonne numero « F » 
qui contenait rinstruction « STX » est transferee a la colonne A. Le transfert 

10 des colonnes est fait en modifiant le masque du circuit, dans Telement qui 
decode les quatre bits de poids forts du code operation des instructions. On 
aurait aussi pu modifier le decodage des quatre bits de poids faible du code 
operation, mais ce n'etait pas necessaire pour ce modele de microprocesseur. 
Le programme ne contient pas d'instruction « FRAUDE ». Le 

15 programmeur qui ecrit un programme d'application, prend soin de ne pas 
implementer de telles instructions dans son programme. 

Comme le montre la figure 3, la solution peut etre generalisee a tous les 
codes operations qui ne correspondent pas a une instruction reconnaissable 
20 par le microprocesseur Ainsi. la nouvelle instruction « FRAUDE » est affectee 
a tous les codes non utilises tels que : 01 H, 02H, 03H, 04H, 05H, 06H. OEH. 
12H, 14H, 15H. 16H. 17H. 18H, 19H, 1AH, ...etc jusqu'a FFH, en tout 47 codes 
operation differents qui executent tous la meme instruction « FRAUDE ». 

25 Selon une variante, cette interruption declenche une instruction 

microprogrammee dans le microprocesseur. Ce type d'instruction execute une 
operation non reversible du type ecriture d'un code en memoire non volatile. 
Lors d'une prochaine mise sous tension, le circuit de gestion de la remise a 
zero teste la valeur de ce code en memoire non volatile et bloque le 

30 fonctionnement du microprocesseur. L*instruction microprogrammee declenche 
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une operation de blocage definitif du circuit. Les instructions 
microprogrammees ont Tavantage d'etre residentes dans le coeur du 
microprocesseur et done, leur execution ne peut etre ni interrompue. ni afteree 
par un rayonnement agissant sur le bus. II n'est done pas possible de detecter 
5 Texecution d'une instruction microprogrammee de blocage. 

Une seconde solution permettant de detecter la perturbation d'une 
donnee sur un bus est d'implementer un controle d'integrite d'un bout a Tautre 
des bus. La figure 4 montre le schema electronique avec son controleur 
10 d'integrite de bus. 

On rajoute aux huit lignes du bus de donnees 1 une neuvieme ligne, 
notee PARITE 2 dont I'etat logique correspond a ta valeur de la parite calculee 
a partir des huit informations binaires presentes sur le bus de donnees. On a 

15 dit precedemment que les codes operation des diverses instructions d'un 
programme sont lus a partir de la memoire ROM 3 ou de la memoire 
programmable non volatile 4, EEPROM par exemple. Le signal de sortie d'une 
cellule de memoire, dont la valeur represente la donnee binaire memorisee par 
cette cellule, est trop faible pour atteindre le microprocesseur via le bus de 

20 donnee. Pour que ces signaux parviennent au microprocesseur, des circuits 
amplificateurs 5 et 6 sont installes juste apres les cellules des memoires 
EEPROM et ROM et avant le bus. Ces deux circuits ont une entree de controle 
E qui permet d'activer leur sortie. Si le signal E a un niveau « 1 », les huit 
sorties ne sont pas actives. Elles sont dans un etat haute impedance. La 

25 memoire EEPROM etant accessible en ecriture et en lecture, le cicuit 
amplificateur 5 est bidirectionnel. Le sens de transfert des donnees est 
controle par le microprocesseur par la ligne de controle READAA/RITE 18). 

Les moyens de controle de Tintegrite de la donnee lue des cellules 
memoires comprennent des generateurs de parite 7, 8 et 1 1 , un comparateur 

30 12 et une entree d'interruption non masquabie appelee « NMI » reliee au 
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microprocesseur. Les generateurs de parite 7. 8 et 11 calculent la valeur de la 
parite de la donnee presente sur huit entrees. A titre d'exemple, le circuit 
74HC280 fabrique par National Semiconductor est un generateur de parite 
disponible sous la forme d'un circuit integre. Sa structure est parfaitement 
5 integrable au sein du circuit monolithique. Les generateurs de parite possedent 
egalement une ligne de sortie Q dont I'etat represente la valeur de la parite de 
la donnee appliquee sur les huit entrees et une ligne de controle E qui active la 
sortie Q lorsqu'on lui applique 0 volt. Dans ce cas, la ligne de sortie Q est a 0 
volt si le nombre d'entree a +Vcc est pair, soit a +Vcc si le nombre d*entree a 
10 +Vcc est impair. Lorsque Ton applique +Vcc a I'entree E, la ligne de sortie Q 
est dans un etat haute impedance. Le generateur de parite 7 calcule la parite 
de la donnee selectionnee dans la memoire EEPROM, le generateur de parite 
8 calcule la parite de la donnee selectionnee dans la memoire ROM et le 
generateur de parite 11 calcule celle presente dans le microprocesseur. 

15 

Le microprocesseur 9 possede aussi un circuit ampiificateur 10 pour 
assurer la compatibilite des signaux transitant sur les bus de donnees, 
d'adresse et de controle. Ce circuit ampiificateur relie au bus de donnees 10 
est bidirectionnel ; d'un cote, il amplifie les signaux de donnees que le 

20 microprocesseur envoie aux memoires et aux peripheriques, de I'autre cote 11 
amplifie les signaux re^us par ces memes memoires et peripheriques afin que 
ces signaux soient traites correctement par les circuits internes du 
microprocesseur. La plupart des microprocesseurs ont un dispositif de pre- 
lecture (« fetch » en anglais) qui permet dans le meme cycle d'horloge 

25 d'executer une instruction et de lire le code operation de instruction suivante. 

Le microprocesseur 9 controle le bus d'adresses, la valeur appliquee sur 
ce bus determine quel type de peripherique est selecte. Pour diminuer le 
nombre de lignes de selection, un decodeur d'adresse 13 regoit en entree le 
bus d'adresses et selectionne les differents peripheriques et memoires par des 

30 lignes specialisees : la ligne appelee « EEPROM » selectionne la memoire 
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EEPROM et, la ligne « ROM », la memoire ROM. Chacune de ces deux lignes 
est reliee a la memoire et au generateur de parite correspondant. 

Les lignes EEPROM et ROM sont actives a I'etat 0, La sortie de la porte 
ET 14 genere un signal de selection commune des deux memoires, si une des 

5 deux lignes EEPROM ou ROM est a « 0 », la ligne 15 est aussi a « 0 ». La 
ligne 15 est reliee a Tentree E du generateur de parite 11 qui, de ce fait, est 
actif en meme temps que I'un ou I'autre des generateurs de parite 7 ou 8. Si 
aucune memoire n'est selectee, les lignes 2 et 16 de sortie des generateurs 
sont a Tetat haute impedance. Les lignes 2 et 16 de sortie des generateurs 

10 sont reliees respectivement a chacune des deux entrees du comparateur 12. 
La sortie Q du comparateur est reliee a une entree d'interruption du 
microprocesseur (notee « NMI » sur la figure 4). 



En utilisation, le microprocesseur lit un code operation representatif 

15 d'une instruction dans la memoire ROM. 11 applique Tadresse du code sur le 
bus d'adresses ce qui rend actifs la ligne ROM et par voie de consequence, les 
amplificateurs 6 et les generateurs de parite 8 et 11. Les amplificateurs 
envoient la donnee lue dans la memoire ROM sur le bus de donnees, et le 
generateur de parite calcuie la valeur de la parite de ladite donnee puis, envoie 

20 la valeur au comparateur 12 par la ligne PARITE 2. Le microprocesseur lit la 
donnee a travers les amplificateurs bidirectionnels 10. Le generateur de parite 
11, active par la ligne 15, calcuie la valeur de ia parite de la donnee lue par le 
microprocesseur et, I'envoie au comparateur par la ligne 16. Le comparateur 
12 compare les deux valeurs : si elles sont egales, la sortie est au niveau « 1 », 

25 en cas de difference, la sortie est a « 0 ». Dans ce dernier cas, la donnee a 
sub! une alteration due tres probablement a remission frauduleuse d'un 
rayonnement. La sortie du comparateur est reliee par la ligne 17 a Tentree 
« NMI » du microprocesseur. Un niveau « 0 » declenche une interruption non 
masquable qui provoque un deroutement du programme en cours vers une 

30 routine d'interruption. L'activation du comparateur peut etre effectuee lors de la 



wo 01/03084 PCT/FROO/01814 

11 

phase de pre-lecture ; ainsi, la generation d'interruption est parfaitement 
synchronisee avec I'horloge de sequencement du microprocesseur. 

Uoperation est identique lorsque le microprocesseur effectue une 
lecture de la memoire EEPROM, 
5 Dans un mode simplifie de rinvention, Tentree « NMI » peut etre 

assimilee a Tentree RESET du microprocesseur. Lorsque Tentree redevient 
inactive, le microprocesseur est debloque et commence son programme de la 
meme fa^on qu'une remise sous tension. Ainsi, une intervention exterieure ne 
peut controler le microprocesseur qui, tant qu'il est soumis a ce rayonnement, 
10 est bloque. 

Par rapport a la premiere solution qui vise a verifier qu*un code 
operation est correctement lu, cette seconde solution offre Tavantage de 
controler tout type de donnee : des codes operations ou des donnees. Des 
generateurs de parite peuvent egalement etre installes sur le bus d'adresses 
15 de la meme fagon que pour le bus de donnees. Cette seconde solution offre 
done aussi I'avantage de controler les signaux du bus d'adresses. 



Dans une variante, un niveau « 0 » sur Tentree « NMI » provoque 
Texecution d'un microprogramme. Pour eviter les phenomenes transitoires, la 

20 reconnaissance du niveau du signal sur I'entree « NMI » s^effectue lors d'une 
transition de Thorloge du microprocesseur, transition au cours de laquelle les 
donnees analysees par le comparateur de signaux de parite sont valides. Un 
programme classique de gestion d'interruption ecrit dans la memoire ROM 
aurait son execution perturbee par le fraudeur. Par contre, selon Tinvention, un 

25 microprogramme est resident dans le microprocesseur ; il ne fait pas appel a la 
lecture de donnees sur le bus ; son execution ne peut done etre perturbee par 
un rayonnement agissant sur le bus. Le microprogramme, declenche par 
Tapplication d'un niveau « 0 » sur Tentree « NMI », effectue deux actions : la 
premiere est Tecriture d'un drapeau appele « BLOQUE » dans la memoire non 

30 volatile programmable, et la seconde est une remise a zero du 
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microprocesseur. L'ecriture du drapeau BLOQUE est irreversible Tetat de ce 
drapeau ne peut plus etre modifie ni par le microprocesseur, ni par un moyen 
exterieur. Un circuit d'initialisation, active lors des mises sous tension du 
module de securite, teste Tetat du drapeau BLOQUE et bloque le 
5 microprocesseur dans un etat de RESET permanent si le drapeau est ecrit. 
Avantageusement, ce drapeau peut etre realise par un fusible dont la fusion 
rend inutilisable le microprocesseur. 

Si un fraudeur impose un niveau « 0 » a toutes les lignes du bus, y 
10 compris la ligne PARITE, le comparateur 12 ne detecte pas d*erreur. En effet, 
le nombre de lignes a « 0 » etant pair, le signal de parite doit etre a « 0 » or. 
c'est justement a ce niveau que la ligne PARITE est forcee. Pour eviter cela et 
selon une variante de la seconde solution, on utilise le fait que les generateurs 
de parite ont generalement deux sorties, une pour generer une parite de type 
15 paire, Tautre pour generer une parite de type impaire. 



La figure 5 montre le schema electronique des modifications a apporter 
a la figure 4 pour integrer dans le circuit monolithique des circuits generateurs 
de parite programmable. Les elements communs a la figure 4 et a la figure 5 

20 portent les memes references. 

Les generateurs de parite 7a, 8a et 11a possedent deux sorties : Tune 
notee Qp est la sortie du signal de parite paire, et I'autrfe Qi est la sortie du 
signal de parite impaire. Lorsque le nombre de lignes d'entree a « 1 » est pair 
alors Qp est a « 1 » et Qi est a « 0 », lorsque le nombre de lignes d'entree a 

25 « 1 » est impair alors Qi est a « 1 » et Qp est a « 0 »,. Les montages 20 et 21 
constitues chacun de deux portes ET, d'une porte OU et d'une porte 
inverseuse constituent des multiplexeurs. Les deux entrees des muitiplexeurs 
sont respect! vement connectees aux deux sorties Qi et Qp des generateurs de 
parite. Une ligne de controle notee 23 selectionne I'entree. Si la ligne 23 est a 

30 « 0 ». les sorties des portes 20c et 21c sont a « 0 » et, a I'aide des portes 
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inverseuses 20b et 20c, les sorties des pontes 20a et 21a ainsi que celles des 
portes 20d et 21 d, reproduisent les niveaux logiques des sorties Qi des 
generateurs de parite 7a, 11a. Dans ce cas, les sorties Qi sont selectionnees 
et les donnees presentes sur les sorties Qi sont envoyees au comparateur 12. 
Ce sont les signaux de parite impaire qui sont compares. Si la iigne 23 est a 
« 1 », a I'aide des portes inverseuses 20b et 20c, les sorties des portes 20a et 
21a sont a « 0 », les sorties des portes 20c et 21c, ainsi que celles des portes 
20d et 21 d, reproduisent les niveaux logiques des sorties Qp des generateurs 
de parite 7a et 11a. Dans ce dernier cas, les sorties Qp sont selectionnees et 
les donnees presentes sur les sorties Qp sont envoyees au comparateur 12). 
Ce sont les signaux de parite paire qui sont compares. 

Les signaux de la Iigne 23 sont envoyes par un generateur de signaux 
aleatoires 22). Ce generateur est un circuit electronique qui re?oit sur une Iigne 
d'entree rhorloge du microprocesseur et qui delivre un signal « 0 » et « 1 » de 
fagon aleatoire dans le temps. De maniere simplifiee, le generateur de signaux 
aleatoires peut etre un compteur dont la sortie change d'etat a chaque 
intervalle de temps determine. Le generateur de signaux aleatoires 22, le 
multiplexeur 21 et le comparateur 12 sont situes le plus pres possible du 
microprocesseur, et de preference integres a celui-ci. Ainsi, ils sont peu 
perturbes par un fraudeur emettant un rayonnement sur le bus. Des montages 
plus compliques faisant appel a un osciilateur interne au generateur de signaux 
aleatoires peuvent etre installes. Le but de ce generateur est d'emettre un 
signal logique sur une Iigne dont I'etat change assez souvent, de I'ordre de 100 
a 10000 fois par seconde. II est important de synchroniser les changements 
d'etat de la Iigne avec Thorloge du microprocesseur, ceci pour eviter de 
prendre en compte la Iigne « NMl » au moment precis ou le signal de la Iigne 
23 change, sinon it pourrait se produire des interferences dues aux differences 
de propagation des signaux. 
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En utilisation, Le fraudeur soumet le bus de donnees a un rayonnement 
qui force les bits de donnees et de parite a « 1 » ou a « 0 ». Salon la valeur 
binaire, la valeur de parite calcuiee a partir des bits de donnees forcees par le 
rayonnement peut etre egale a la valeur forcee par le rayonnement done, etant 
5 egale. on ne detecte pas d'erreur. En changeant souvent le type de parite 
grace au generateur de signaux aleatoires, on detecte a coup sur la presence 
du rayonnement. 

Lorsque le generateur de signaux aleatoires 22 emet un niveau « 0 ». 
les signaux emis par les sorties Qi des generateurs de parite 7a et 11a sont 

10 selectionnes et done, on compare les signaux de parite de type impaire. 
Lorsque le generateur de signaux aleatoires 22 emet un niveau « 1 », les 
signaux emis par les sorties Qp des generateurs de parite7a et 11a sont 
selectionnes et done, les signaux de parite de type paire sont compares. 

Distinguons tout d'abord le cas ou le bus est soumis a un rayonnement 

15 forgant les lignes du bus de donnees et de parite 2a a « 1 ». Lorsque le 
generateur de signaux aleatoires 22 envoie un signal « 0 », la sortie Qi du 
generateur de parite 11 est selectionne, son niveau egal a « 0 » est different 
de eelui de la ligne de parite 2a qui est forcee a « 1 ». Le comparateur detecte 
done bien ce type de rayonnement en declenchant une interruption. Passons 

20 au deuxieme cas ou le bus est soumis a un rayonnement forgant les lignes du 
bus de donnees et de parite 2a a « 0 ». Lorsque le generateur de signaux 
aleatoires 2a2 envoie un signal « 1 », la sortie Qp du generateur de parite 11 
est selectionne, son niveau egal a « 1 » est different de eelui de la ligne de 
parite 2a qui est forcee a « 0 ». Dans ce cas egalement, le comparateur 

25 detecte le rayonnement et le signale au microprocesseur par une interruption. 

Par cette variante, on ajoute un parametre qui rend plus imprevisible 
encore le comportement du circuit pour un fraudeur, car ce parametre 
augmente la difficulte de controler I'etat des lignes de bus par Texterieur sans 
30 que le circuit le detecte. 
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Une troisieme solution pour detecter une alteration de Texecution d'un 
programme est d'implementer des routines de modification de drapeaux de 
place en place au sein d'un programme a proteger.et de verifier avant 
d'entreprendre une operation sur des donnees sensibles que tous les drapeaux 
ont ete modifies. 

La figure 6 montre une partie de la memoire contenant un programme 
implements a I'adresse 0800 hexadecimal. Cette memoire peut etre de la ROM 
ou de TEEPROM, mais tout autre type de memoire non volatile capable 
d'executer des instructions convient. Tous les drapeaux sont representes par 
des bits et regroupes en memoire dans un indicateur. Dans I'exemple decrit, 
cet indicateur est un octet de la memoire RAM appele DRAPEAU. Un certain 
nombre de bits composant cet octet sont utilises pour marquer le passage a 
certaines etapes du programme qui menent a une operation sur des donnees 
sensibles. 

A I'adresse 800 (etape 1), Toctet DRAPEAU est mis a jour a la valeur 
binaire « 0000 0001 », le premier bit a « 1 » indiquant que Tetape 1 a ete 
executee. A I'adresse 880H (etape 2), I'octet DRAPEAU est lu et modifie par 
rexecution d'un OU logique (instruction ORA en MOTOROLA 6805) entre son 
contenu actuel et la valeur binaire « 0000 0010 » : le resultat de Toperation OU 
est ecrit dans I'octet DRAPEAU. A I'adresse 8A0H (etape 3). I'octet DRAPEAU 
est lu et modifie par I'execution d'un OU logique entre son contenu et la valeur 
binaire « 0000 0100 »: le resultat de I'operation OU est ecrit dans I'octet 
DRAPEAU. Enfin, a I'adresse 900H (etape 4), la partie securisee du 
programme se termine : i'octet DRAPEAU est lu et controle : si sa valeur est 
differente de la valeur binaire « 0000 0111 », le programme saute vers une 
routine de gestion de la fraude. 
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En utilisation, le programme a securiser commence a Tadresse 0800H. 
La premiere etape (etape 1) consiste a mettre a jour I'octet DRAPEAU en 
mettant a « 1 » le premier bit de I'octet DRAPEAU, Puis le programme continue 
en sequence jusqu*a une seconde etape dite de modification (etape 2) dans 
laquelle on positionne le second bit de I'octet DRAPEAU indiquant ainsi que 
Tetape 2 a ete executee. Par voie de consequence, on peut supposer que 
toutes les instructions du programme entre I'etape 1 et Tetape 2 ont ete 
executees. Puis le programme continue en sequence jusqu*a Tetape de 
modification 3 ou la, le troisieme bit de DRAPEAU est mis a « 1 ». Enfin, le 
programme a securiser se termine par une routine de test de Toctet DRAPEAU 
(etape 4) : elle consiste a verifier Texecution des etapes 1 ,2 et 3. Si la valeur 
est differente de « 0000 0111 », un deroutement du programme est intervenu, 
ce qui revele un fonctionnement anormal resultant tres probablement d'une 
tentative de fraude. Dans ce cas, le programme interrompt son fonctionnement 
norma! pour sauter vers la routine de gestion de la fraude. Un fraudeur ne 
connaissant pas les emplacements du programme ou sont implementees les 
routines de modification de I'octet DRAPEAU, il ne sait pas a quel moment 
elles s'executent et done, en perturbant les valeurs du bus de donnees, il y a 
une forte probabilite pour qu'il reussisse a supprimer I'execution d'au moins 
une des etapes 1 ,2 ou 3, et done I'octet DRAPEAU n'aura pas la valeur finale 
attendue. 

De fa^on simplifiee, la routine de gestion de la fraude peut consister en 
une remise a zero du microprocesseur (RESET). Une amelioration consiste a 
utiliser pour Tetape 4 une instruction microprogrammee de telle sorte qu'un 
fraudeur ne pourrait perturber son deroulement en empechant Texecution de 
certaines instructions et en en autorisant d'autres. Cette instruction a la 
structure suivante « Code operation, Adresse a lire, Valeur a comparer » : elle 
execute sequentiellement les fonctions suivantes : 

O lecture de I'octet « Adresse » 
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® comparaison de la valeur de Toctet iue avec « Valeur » 
© si egal alors saut a Tinstruction suivante 

sinon © ecriture du drapeau BLOQUE en memoire non volatile 
® RESET du microprocesseur 

5 

Blen evidemment, en augmentant le nombre de drapeaux et done le 
nombre d'etapes de mise a jour de rindicateur. on augmente les moments de 
detection des perturbations exterieures. L'indicateur DRAPEAU doit alors etre 
represents par plusieurs octets. Mais, les etapes de mise a jour de Tindicateur 

10 occupant de la place memoire inutile pour le programme d'application, tant au 
niveau du programme qu'au niveau de la memoire RAM. II faut done optimiser 
le nombre d'etapes. Par exemple, pour un programme a securiser de 1000 
octets, un bon compromis serait d'installer 32 etapes de modification de 
rindicateur. Ces 32 etapes et la routine de test final occupant 162 octets de 

15 memoire de programme et 4 octets en RAM. Selon la complexite du 
programme, qui peut comporter des sauts et ne pas effectuer toutes les etapes 
de modification, le test de Toctet DRAPEAU peut ne prendre en compte qu'un 
nombre limite de bits. Si le programme a securiser se termine a des endroits 
differents, on peut installer dans le programme plusieurs routines de test qui 

20 prennent en compte des valeurs differentes de I'octet DRAPEAU. 

Cette solution comporte Tavantage d'etre facilement utilisable sur un 
composant classique car elle nMmplique pas de modifier la partie materielle du 
composant. 

25 Un perfectionnement de I'invention consiste a implementer dans le 

programme des instructions d'effacement de I'octet DRAPEAU a des 
emplacements qui ne sont normalement jamais attaints lors de Texecution du 
programme. Ainsi, une perturbation frauduleuse de I'execution du programme 
peut provoquer I'execution d*une de ces instructions qui, en mettant a 00 Toctet 

30 DRAPEAU, entratne I'execution de la routine de gestion de la fraude. 
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La figure 7 montre I'aspect de la memoire de programme selon le 
perfectionnement. A I'adresse 0890H (etape 2bis), le programme execute une 
instruction de saut inconditionnel. L'instruction a Tadresse suivante n'est done 

5 jamais executee, sauf si une autre instruction de saut la specifie comme 
destination. Le programmeur ecrit une instruction d'effacement de Toctet 
DRAPEAU juste apres I'instruction de saut inconditionnel. et prend bien soin de 
ne jamais la specifier comme destination dans son programme. Si un fraudeur 
perturbe le bus de donnees, il y a un certain niveau de probabilite pour que 

10 instruction de saut inconditionnel ne soit pas executee et que cette instruction 
d'effacement le soit. Cette instruction met a « 0 » tous les bits de I'octet 
DRAPEAU. Lors du test final a I'etape 5, les bits 1 et 2 de DRAPEAU sont a 
« 0 » et done la valeur lue n'est pas celle attendue. Le programme interrompt 
done son fonctionnement normal pour sauter vers la routine de gestion de la 

15 fraude. 

Le programme illustre par la figure 7 montre deux etapes d'effacement 
de Toctet DRAPEAU (etape 2 bis et 3 bis). L'instruction d'effacement n'occupe 
que deux octets en memoire de programme, centre quatre octets pour les 
etapes de mise a jour de I'indicateur, ce qui, a performance egale, fait gagner 
20 de la place, Un programme optimal utilise assez peu d'instructions de saut 
inconditionnel. II est done possible de mettre systematiquement une instruction 
d'effacement apres un saut inconditionnel. 
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REVENDICATIONS 

1. Procede de securlsation du traitement d*une information sensible dans 
5 un module de securite de structure monolithique, le module comportant des 

moyens de traitement de I'information (31) et des moyens de memorisation 
(32,33) d'informations susceptibles d'etre traitees par lesdits moyens de 
traitement, caracterise en ce qu'il comprend les etapes suivantes : 

- selectionner une information sensible dans les moyens de 
10 memorisation ; 

- determiner une condition particuliere d'integrite de la dite information ; 

- lire rinformation et la transmettre aux moyens de traitement ; 

- controler lors du traitement de rinformation que la condition particuliere 
est satisfaite ; 

15 - bloquer le traitement de ('information au cas ou la condition particuliere 

n'est pas satisfaite. 

2. Procede selon la revendication 1, dans lequel rinformation est un code 
operation lu dans les moyens de memorisation (32,33), I'ensemble des codes 

20 operations etant contenu dans une table ayant un contenu determine lors de la 
fabrication du module de securite, et la condition particuliere d'integrite est le 
fait que la valeur de information est egale a Tune de plusieurs valeurs fixes. 

3. Procede selon ia revendication 2, dans lequel le code operation a trailer 
25 est code sous forme de bits de donnees et lesdits bits n'ont pas tous la meme 

valeur binaire. 

4. Procede selon la revendication 1, dans lequel la condition particuliere 
d'integrite consiste a controler une donnee d'integrite calculee en utilisant 

30 rinformation lue dans les moyens de memorisation (32,33), la donnee 
d'integrite etant calculee lors de la lecture de ['information et etant transmise 
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aux moyens de traitement, les moyens de traitement calculant une autre 
donnee d'integrite a partir des informations re?ues et controlant I'egalite entre 
les deux donnees d'integrite. 

5 5. Procede selon la revendication 4, dans lequel les donnees d'integrite 
sont calculees a partir d'au moins une donnee de calcul dont la valeur varie en 
fonction du temps. 

6. Procede selon la revendication 4, dans lequel les donnees d'integrite 
10 sont calculees a partir d'au moins une donnee de calcul dont la valeur varie de 

fa^on aleatoire. 

7. Procede selon la revendication 1 , dans lequel le blocage du traitement 
de rinformation est realise par une instruction microprogrammee. 

15 

8. Procede selon la revendication 7, dans lequel Tinstruction 
microprogrammee realise les etapes suivantes : 

- ecrire une donnee de blocage dans un emplacement non volatile des 
moyens de memorisation (32,33) ; 
20 - bloquer le traitement de rinformation, 

9. Procede selon la revendication 8, dans lequel, a la mise sous tension 
du module, un emplacement non volatile des moyens de memorisation (32,33) 
est lu par les moyens de traitement (31), et le module est bloque si une valeur 

25 lue a cet emplacement n'est pas conforme. 

10. Module de securite constitue d'un circuit electronique de structure 
monolithique et comportant des moyens de traitement de information (31) et 
des moyens de memorisation (32,33), les moyens de traitement selectionnant 

30 des informations extraites des moyens de memorisation afin de les traiter ; 
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caracterise en ce que les moyens de traitement comportent des moyens de 
controle d'une condition particuliere d'integhte d'une information sensible, et 
des moyens de blocage du traitement de ('information, lesdits moyens de 
blocage etant actives lorsque les moyens de controle ont detecte que la 
5 condition particuliere n'est pas satisfaite. 

11. Module de securite selon la revendication 10, dans lequel les moyens 
de traitement (31) executent des instructions correspondant a des codes 
operations extraits d'une table, caracterise en ce que la table comprend une 

10 valeur d'instruction interdite. 

12. Module de securite selon la revendication 11, dans lequel le code 
operation a traiter est code sous forme de bits de donnees, le module de 
securite comprenant un moyen de lecture des valeurs de tous les bits et un 

15 moyen de blocage active lorsque les valeurs des bits sont toutes identiques. 

13. Module de securite selon la revendication 10, dans lequel les moyens 
de traitement (31) executent des instructions correspondant a des codes 
operations extraits d'une table, le module de securite comportant un moyen de 

20 lecture d'un code operation et un moyen de blocage active lors de la lecture 
d'un code operation interdit. 

14. Module de securite selon la revendication 13, dans lequel le moyen de 
blocage comprend un moyen d'ecriture irreversible d'un indicateur dans les 

25 moyens de memorisation (32,33), et un moyen de lecture dudit indicateur lors 
de la mise sous tension ulterieure du module. 

15. Module de securite selon la revendication 10, comportant des 
generateurs de parite (7,8) cooperant avec les moyens de memorisation, des 

30 generateurs de parite (11) cooperant avec te moyen de traitement et un 
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comparateur relie a chacun des generateurs de parite et apte a provoquer une 
interruption au sein des moyens de traitement. 

1 6. Module de securite selon la revendication 1 5, dans lequel las 
5 generateurs de parite (7,8) ont un fonctionnement qui varie en fonction du 

temps. 

17. Module de securite selon la revendication 1 5, dans lequel les 
generateurs de parite (7,8) ont un fonctionnement qui varie aleatoirement. 

10 

18. Module de securite selon la revendication 14, caracterise en ce que 
Tecriture irreversible de Tindicateur dans les moyens de memorisation (32,33) 
est realisee en executant une instruction microprogrammee. 

15 19. Module de securite selon la revendication 10, caracterise en ce que le 
module de securite est une carte a microcircuit. 
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